想象一下以下场景:
- 用户转到http://example.com
- 服务器重定向到安全版本https://example.com使用临时重定向(状态302(
- https://example.com以HTTP基本身份验证质询进行响应(状态401(
- 用户成功提供用户名/密码并授予访问权限(浏览器将这些凭据存储在其内部缓存中(
如果用户使用指向不安全版本网站的链接会发生什么(http://example.com)?
凭据是否会由于明文HTTP请求而暴露?
HTTP证书和HTTPS证书是否存储在单独的";桶";通过浏览器?
从技术上讲,这两个URL属于不同的来源,因此不应该共享凭据。但我在网上找不到任何对此的证实。
HTTP凭据和HTTPS凭据存储在单独的";桶";通过浏览器?
是的,这些桶被正式称为"起源"。HTML、Javascript、HTTP和URI等规范都在谈论起源,但bucket实际上是URI减去路径。
因此,对于https://example.org/foo/bar,原点是https://example.org
因此,这包括:
- 方案(
http/https( - 域
- 端口
因此,在您的示例中,两个相关的原点/桶是http://example.com和https://example.com,它们是分开的。